خط مشی ویژه پردازش داده های شخصی
1. هدف و دامنه سیاست
عنوان کنترل کننده داده: دانشیار دکتر. آتا کان
آدرس کنترلر داده: İnönü، نظامی سی دی. No:9 D:No:1, 34373 Şişli/Istanbul
تلفن کنترلر داده : 0536 576 66 66
ایمیل کنترلر داده: atababay@yahoo.com
وب سایت کنترلر داده: https://dratacan.com/
کنترل کننده داده از نظر محافظت از داده های شخصی حساسی که پردازش می کند بسیار حساس عمل می کند.
این سیاست در مورد دستههای خاص دادههای شخصی بهدستآمده اعمال میشود، همانطور که در بند (4) ماده 6 قانون آمده است: «در پردازش دستههای خاص دادههای شخصی، اتخاذ تدابیر کافی تعیینشده توسط هیئت نیز ضروری است. " برای تبیین تدابیر امنیتی اتخاذ شده بر اساس حکم و تعیین رویه ها و اصول در این زمینه تهیه شده است.
2. تعاریف
از جمله شرایط قانونی و فنی مندرج در این سیاست؛
رضایت صریح | رضایت در مورد موضوعی خاص، بر اساس اطلاعات و با اراده آزاد بیان شده است. |
قانون | قانون حمایت از داده های شخصی شماره 6698 مورخ 1395/03/24، |
رسانه ضبط | هر محیطی که حاوی دادههای شخصی است که بهوسیلهای کاملاً یا جزئی خودکار یا غیر خودکار پردازش میشود، مشروط بر اینکه بخشی از هر سیستم ثبت داده باشد، |
داده های شخصی ویژه | دادههای مربوط به نژاد، منشاء قومی، اندیشه سیاسی، عقاید فلسفی، مذهب، فرقه یا سایر عقاید، ظاهر و لباس، انجمن، عضویت در بنیاد یا اتحادیه، سلامت، زندگی جنسی، محکومیت جنایی و اقدامات امنیتی، و دادههای بیومتریک و ژنتیکی، |
اطلاعات شخصی
در حال پردازش |
به دست آوردن، ثبت، ذخیره، حفظ، تغییر، تنظیم مجدد، افشا، انتقال، تصاحب، در دسترس قرار دادن، طبقه بندی یا استفاده از داده های شخصی به روش های کاملاً یا جزئی خودکار یا غیر خودکار، مشروط بر اینکه بخشی از هر سیستم ثبت داده باشد. بر روی داده هایی مانند مسدود کردن، |
هیئت مدیره | هیئت حفاظت از داده های شخصی، |
شخص مرتبط | شخص حقیقی که داده های شخصی او پردازش می شود، |
کنترل کننده داده ها | شخص حقیقی یا حقوقی که اهداف و ابزار پردازش داده های شخصی را تعیین می کند و مسئولیت ایجاد و مدیریت سیستم ثبت داده ها را بر عهده دارد. |
بیان می کند
3. پردازش داده های شخصی خاص
3.1 اصول اساسی در پردازش داده های شخصی خاص
داده های شخصی ویژه با انجام کلیه اقدامات اداری و فنی لازم مطابق با قانون و اصول مشخص شده در این سیاست پردازش می شود. در این زمینه، داده های شخصی خاص؛
- طبق قانون و قاعده صداقت رسیدگی خواهد شد،
- در صورت لزوم، اطمینان حاصل می شود که داده های شخصی دقیق و به روز هستند،
- برای مقاصد مشخص، روشن و مشروع پردازش خواهد شد،
- آنها به صورت محدود و اندازه گیری شده در ارتباط با هدف قانونی که برای آن پردازش می شوند استفاده و افشا می شوند.
- آنها برای مدتی که در قانون مربوطه تعیین شده یا برای هدفی که برای پردازش آنها ضروری است نگهداری می شوند.
3.2 پردازش داده های شخصی خاص
- دادههای سلامت شخصی بیماران توسط پزشکان ما پردازش میشود که به منظور انجام خدمات تشخیص پزشکی، درمان و مراقبت، خدمات بهداشتی و مدیریت مطابق با ماده 6/3 KVKK، تحت تعهد محرمانه بودن هستند. این دادههای ویژه سلامت شخصی بهصورت الکترونیکی و فیزیکی توسط پرسنلی پردازش میشوند که به طور منظم در KVKK آموزشهای آگاهی داده میشوند و با توافقنامه محرمانه به کار میروند.
- گزارشهای بهداشتی بهدستآمده از پرسنل طبق قانون ایمنی و بهداشت شغلی مطابق با قانون KVKK پردازش میشوند.
- سوابق کیفری متخصصان بهداشت و درمان ما بر اساس دلیل قانونی که به وضوح در قانون معاملات گواهی اشتغال به کار پرسنل تصریح شده است، پردازش می شود.
- سوابق کیفری افرادی که گواهی اشتغال به کار برای آنها صادر نشده است با رضایت صریح آنها به صورت فیزیکی و الکترونیکی اطلاع رسانی و رسیدگی می شود.
- داده های پوشاک متخصصین بهداشت و درمان شاغل در سازمان ما بر اساس دلیل قانونی پردازش می شود که به وضوح در قوانین مندرج در ماده 6 قانون تصریح شده است.
- داده های بهداشتی، محکومیت کیفری و اقدامات احتیاطی امنیتی از داوطلبان پرسنل با رضایت صریح دریافت می شود و اطلاعات افرادی که درخواست شغلی آنها رد شده است بلافاصله حذف می شود.
4. اهداف پردازش داده های شخصی خاص
مرکز داده های شخصی را برای اهداف ذکر شده در زیر، مطابق با اصول اولیه مندرج در ماده 4 قانون و بر اساس حداقل یکی از شرایط پردازش داده های شخصی ویژه مندرج در ماده 6 قانون پردازش می کند.
- انجام فرآیندهای مدیریت اضطراری
- انجام فرآیندهای درخواست داوطلبان کارمند
- انجام تعهدات قرارداد کار و قانونی برای کارکنان
- اجرای فرآیندهای مزایا و مزایای جانبی برای کارکنان
- انجام فعالیت ها با رعایت قوانین
- پیگیری و اجرای امور حقوقی
- برنامه ریزی فرآیندهای منابع انسانی
- انجام فعالیت های ایمنی / بهداشت حرفه ای
- انجام فرآیندهای عملیاتی سرویس
- انجام فعالیت های ذخیره سازی و بایگانی
- اجرای فرآیندهای قرارداد
- تضمین امنیت کالاها و منابع منقول
- تضمین امنیت عملیات کنترلر داده ها
- ارائه اطلاعات به افراد، موسسات و سازمان های مجاز
- حفاظت از سلامت عمومی، ارائه خدمات تشخیص پزشکی، درمان و مراقبت
5. انتقال داده های شخصی خاصSI
5.1 نقل و انتقالات داخلی
- داده های سلامت شخصی بیماران ممکن است به اشخاص ثالث ذکر شده در زیر منتقل شود.
- در صورت بروز اختلاف حقوقی، در صورت درخواست، به مراجع قضایی و وکلای طرف، محدود به اطلاعات شخصی درخواستی.
- اطلاعات هویتی و سلامتی طبق قانون اساسی خدمات سلامت به سامانه E-Nabız منتقل می شود.
- اطلاعات هویتی، بهداشتی و بیمه ای کسانی که در محدوده بیمه خصوصی خدمات دریافت می کنند در اختیار شرکت های بیمه خصوصی قرار می گیرد.
- دادههای سلامت شخصی پرسنل به اشخاص ثالث فهرست شده در زیر منتقل میشود.
- در صورت بروز اختلاف حقوقی، در صورت درخواست، به مراجع قضایی و وکلای طرف، محدود به اطلاعات شخصی درخواستی.
- اطلاعات هویت، تماس، صحت، عکس، دیپلم و محکومیت کیفری به منظور درخواست گواهی کار پرسنل به ریاست صحت ولسوالی/ولایت ارائه می شود.
- به شرکت نرم افزاری که توسعه دهنده برنامه های کامپیوتری محل کار برای اهداف بایگانی است.
- دادههای مربوط به سلامت شخصی، محکومیت کیفری و اقدامات امنیتی که از متقاضیان کار با رضایت صریح به دست میآیند، در صورت رد درخواست شغل بلافاصله حذف و از بین میروند.
5.2 انتقال به خارج از کشور
داده های شخصی حساس پردازش شده به خارج از کشور منتقل نمی شود.
6. اقدامات انجام شده برای حفاظت از داده های شخصی خاص
7.1 اقدامات امنیتی انجام شده
1– مرکز ما یک خط مشی و رویه جداگانه سیستماتیک، مشخص، قابل مدیریت و پایدار برای امنیت داده های شخصی خاص تعیین کرده است.
2- برای کارمندانی که در پردازش داده های شخصی خاص شرکت دارند،
- الف) آموزش های منظم در مورد قانون و مقررات مربوطه و امنیت ویژه داده های شخصی ارائه می شود.
- ب) قراردادهای محرمانه منعقد شده است،
- ج) دامنه مجوز و مدت زمان کاربرانی که به داده ها دسترسی دارند به وضوح تعریف شده است،
- د) بررسی های مجوز به صورت دوره ای انجام می شود،
- هـ ـ اختیارات کارکنانی که در این زمینه تغییر وظیفه کرده یا شغل خود را ترک می کنند، بلافاصله حذف می شود. در این زمینه، موجودی تخصیص یافته به کارمندی که کار را ترک کرده است، برگردانده می شود.
3– اگر محیطهایی که دادههای شخصی حساس پردازش، ذخیره و/یا دسترسی به آنها انجام میشود، رسانه الکترونیکی باشد.
بهروزرسانیهای امنیتی برای محیطهایی که دادهها در آن ذخیره میشوند دائماً نظارت میشوند، آزمایشهای امنیتی لازم به طور منظم انجام میشوند و نتایج آزمایشها ثبت میشوند.
4- محیط فیزیکی که در آن داده های شخصی حساس پردازش، ذخیره و قابل دسترسی است.
- الف) بسته به ماهیت محیطی که داده های شخصی حساس در آن ذخیره می شود، اقدامات امنیتی کافی (در برابر موقعیت هایی مانند نشت برق، آتش سوزی، سیل، سرقت و غیره) اتخاذ شده است.
- ب) امنیت فیزیکی این محیط ها تضمین شده و از ورود و خروج غیرمجاز جلوگیری شود.
5- اگر داده های شخصی خاص منتقل شود؛
- الف) اگر داده ها باید از طریق ایمیل منتقل شوند، با استفاده از آدرس پست الکترونیکی شرکت یا حساب پست الکترونیکی ثبت شده (KEP) به صورت رمزگذاری شده منتقل می شوند.
- ب) در صورتی که داده ها باید از طریق کاغذ منتقل شوند، در مقابل خطراتی مانند سرقت، مفقود شدن یا مشاهده سند توسط افراد غیرمجاز، احتیاط های لازم اتخاذ شده و سند در قالب «اسناد محرمانه» ارسال می شود.
همچنین اقدامات اداری و فنی انجام شده است
اقدامات اداری
- سیاست های شرکت در زمینه دسترسی، امنیت اطلاعات، استفاده، ذخیره سازی و تخریب تهیه و اجرا شده است.
- قراردادهای امضا شده حاوی مفاد امنیت داده است.
- داده های شخصی تا حد امکان کاهش می یابد.
- ممیزی های دوره ای و/یا تصادفی داخلی انجام شده یا انجام می شود.
- تجزیه و تحلیل ریسک ساخته و گزارش می شود.
- مفاد KVKK به متونی مانند قراردادهای کار و مقررات انضباطی اضافه می شود.
- امنیت داده های شخصی نظارت می شود.
- قراردادهای محرمانه با گروه های گیرنده ای که داده ها به آنها منتقل می شود، منعقد می شود.
- پرسشنامه پردازش داده های شخصی تهیه شده است.
- عملیات حذف، تخریب یا ناشناس سازی به صورت دوره ای انجام می شود.
اقدامات فنی
- امنیت شبکه و امنیت برنامه تضمین شده است.
- اقدامات امنیتی در محدوده تامین، توسعه و نگهداری سیستم های فناوری اطلاعات انجام می شود.
- از سیستم های ضد ویروس به روز استفاده می شود.
- فایروال ها استفاده می شود.
- سیستم مدیریت حساب کاربری و کنترل مجوز پیاده سازی شده و اینها نیز نظارت می شوند.
7 حقوق افراد مرتبط و استفاده از این حقوق
7.2 حقوق افراد مربوطه
- یادگیری اینکه آیا داده های شخصی پردازش می شوند یا خیر،
- درخواست اطلاعات در صورتی که داده های شخصی پردازش شده باشد،
- یادگیری هدف از پردازش داده های شخصی و اینکه آیا آنها برای هدف مورد نظر خود استفاده می شوند،
- درخواست تصحیح داده های شخصی در صورتی که داده های شخصی به طور ناقص یا نادرست پردازش شده اند و درخواست اطلاع رسانی اقدامات انجام شده در این زمینه به اشخاص ثالثی که داده های شخصی به آنها منتقل شده است،
- درخواست حذف یا از بین بردن داده های شخصی در صورتی که دلایلی که نیاز به پردازش دارند دیگر وجود نداشته باشد، حتی اگر طبق قانون و سایر مقررات قانونی مربوطه پردازش شده باشد، و درخواست اطلاع رسانی اقدامات انجام شده در این زمینه به اشخاص ثالث چه کسی داده های شخصی منتقل شده است،
- اعتراض به ظهور نتیجه ای که برای فرد نامطلوب است از طریق تجزیه و تحلیل داده های پردازش شده منحصراً از طریق سیستم های خودکار،
- درخواست جبران خسارت در صورت آسیب ناشی از پردازش غیرقانونی داده های شخصی.
7.3 اعمال حقوق شخص مربوطه
صاحبان داده های شخصی،
- از کلینیک ما که آدرسش بالا نوشته شده.
- از وب سایت ما که در بالا ذکر شد
آنچه به دست خواهند آورد فرم درخواست مالک دادهشما باید فرم را پر کرده و با امضای خیس، دستی، پستی یا از طریق دفتر اسناد رسمی، به آدرس کنترل کننده داده مشخص شده در بالا، یا به آدرس ایمیل ما در بالا، از طریق آدرس ایمیل خود ارسال کنید. شما قبلا به ما اطلاع داده اید و در سیستم ما ثبت نام کرده اید.
7.4 پاسخگویی به برنامه های کاربردی
چنانچه شخص مربوطه درخواست خود را در خصوص حقوق مندرج در ماده 11 قانون طبق روال به ما تسلیم نماید، درخواست مربوطه در اسرع وقت و ظرف 30 (سی) روز به آدرس آخرین، بسته به ماهیت درخواست. با این حال، اگر معامله مستلزم هزینه اضافی باشد، ممکن است طبق تعرفه تعیین شده توسط هیئت مدیره، کارمزد دریافت شود.
8 هماهنگی حفاظت از داده های شخصی و فرآیندهای پردازش
هماهنگی پردازش و حفاظت از داده های شخصی خاص توسط مدیر شرکت یا پرسنل تعیین شده توسط وی انجام می شود.
9 به روز رسانی به سیاست
ممکن است تغییراتی در این خطمشی در مورد پردازش دادههای شخصی خاص به دلیل تغییر در قوانین، مطابق با تصمیمات هیئت مدیره یا در راستای تحولات در بخش یا حوزه انفورماتیک ایجاد شود. تغییرات ایجاد شده در این زمینه بلافاصله در متن ثبت می شود و توضیحات مربوط به تغییرات به جدول به روز رسانی زیر اضافه می شود.
جدول به روز رسانی
…………………………………. | خطمشی پردازش و حفاظت از دادههای شخصی ویژه لازمالاجرا شده است. |